안녕하세요, 소프트캠프입니다.
2026년 5월 1일, 국가정보원은 「국가 사이버보안 기본지침」을 시행했습니다. 명칭만 보면 기존 「국가 정보보안 기본지침」(2019년 전부개정, 2023년 일부개정)의 단순 후속처럼 보이지만, 실제로는 법적 근거·망 체계·정보 등급·신기술 보안·운영 의무의 다섯 축이 동시에 재편된 전면 개정입니다.
20년 넘게 공공 보안의 근간이 되어온 '망분리' 조항(제40조)이 삭제되고, 업무 정보를 (기밀(C)·민감(S)·공개(O))를3개 등급으로 분류·통제하는 N2SF(국가 망 보안체계)가 그 자리를 대체했습니다. 여기에 AI 보안 신설, 클라우드 확대, 원격근무 보안 강화, 통합인증 도입까지, 공공 사이버보안의 구조 자체를 재설계한 개정입니다.
이번 기술백서에서는 개정 지침이 실제로 무엇을 바꾸었는지 조항별로 풀어 살펴보고, 각각의 요구사항에 소프트캠프 솔루션이 어떻게 대응할 수 있는지를 구체적으로 안내해 드립니다.
|
|
|
|
Chapter 1.
7년의 패러다임이 한 번에 바뀌었다
|
|
|
|
이번 개정은 단순한 용어 치환이 아닙니다. 지침의 법적 위상 자체가 이동했다는 봐야할 것 입니다. 100여 개 조문을 손본 393건의 세부 변경으로 조문 신설 13건, 제목개정 16건, 조문 전체 삭제 1건 포함하고 있습니다. 실제로는 법적 근거·망 체계·정보 등급·신기술 보안·운영 의무의 다섯 축이 동시에 재편된 전면 개정입니다.
1. 패러다임의 선언 : '정보보안'에서 '사이버보안'으로
이번 개정에서 가장 먼저 눈에 띄는 변화는 지침의 명칭 변화입니다.「국가 정보보안 기본지침」에서「국가 사이버보안 기본지침」으로 바뀌었습니다. 단순한 명칭 교체처럼 보이지만, 이는 지침 전체에 걸친 용어 체계의 전환을 의미합니다.
이에 따라 조직 직제도 바뀌었습니다. 각급기관의 '정보보안담당관'은 '사이버보안담당관'으로 명칭이 변경되고, 이 변화의 본질은 방어 대상이 '정보 자체'에서 '정보를 둘러싼 사이버 공간'으로 확장되었다는 데 있습니다. 정적인 자료의 기밀성·무결성 보호에서, 동적인 위협·공격·대응의 전 생애주기 관리로 무게중심이 이동한 것 입니다.
사이버보안 감사, 사이버보안 교육, 사이버보안 진단의 날 등 제도적 명칭도 모두 정비되었습니다. 이는 「사이버안보 업무규정」과의 법령 체계 정합성을 높이는 동시에, 네트워크·클라우드·AI가 뒤섞인 현대의 디지털 위협 환경을 반영하는 개념적 전환입니다.
2. N2SF 도입 : 물리적 망분리의 종료와 등급 기반 보안체계로의 전환
이번 개정에서 가장 근본적인 구조 변화는 N2SF(국가 망 보안체계, National Network Security Framework)의 도입입니다. 기존 지침의 핵심이었던 제40조(내부망·인터넷망 분리)가 전면 삭제되고, 그 자리를 제39조의2부터 제39조의5까지 4개의 새로운 조항이 채웠습니다.
1) 업무정보의 등급식별 (제39조의2)
BRM(Business Reference Model, 정부기능분류시스템) 등 기준으로 업무기능을 분류하고, 취급 정보를 기밀·민감·공개 3등급으로 분류해야 합니다. 개별 정보라도 상위 등급 정보와 결합·집합되거나 침해 영향이 커지는 경우 등급을 상향 조정할 수 있습니다.
2) 업무정보의 처리(제39조의3)
업무정보는 동급 이상의 정보시스템·도메인에서 처리하는 것이 원칙입니다. 단, 국가 망 보안체계 보안가이드라인의 보안통제 항목을 준수하는 경우 하위 등급 시스템에서의 처리도 허용됩니다.
3) 정보시스템의 위치(제39조의4)
하나의 도메인 안에는 가급적 같은 등급의 정보시스템만 두도록 해야 합니다. 서로 다른 등급 시스템의 혼용은 혼용의 절대 금지가 아닌 최소화 원칙입니다.
4) 보안통제(N2SF) (제39조의5)
세부 보안통제는 국가정보원장의 「국가 망 보안체계 보안가이드라인」에 위임합니다. 등급 간 통신은 차단 또는 분리할 수 있으며, 공개등급에 한해 외부 인터넷 연결이 허용됩니다.
해당 조항들은 지난 20년 공공 보안의 골격이었던 "물리적 망분리"가 "등급 기반 보안통제와 논리적 분리 허용"으로 전환되었다는 의미를 내포합니다. 이는 곧 클라우드·SaaS·원격근무로 대표되는 현대적 IT 환경을 공공 영역에 본격 수용하기 위한 제도적 토대가 마련되었음을 뜻합니다.
3. 정보 등급체계 정비 : 업무 정보의 기밀(C)·민감(S)·공개(O), 3가지 등급의 의미
기존 지침의 "비공개 업무자료"라는 모호한 용어는 사라지고, 정보의 등급이 3단계로 명확히 재정의되었습니다. 이 등급은 업무정보뿐 아니라 도메인, 정보시스템 모두에 일관되게 적용됩니다. 각 등급의 정의는 지침 제2조에 명시되어 있습니다.
1) 기밀등급(Classified)
비밀·대외비, 그리고 「공공기관의 정보공개에 관한 법률」 제9조제1항 제1~4호에 따른 비공개 대상 정보가 해당합니다. 가장 엄격한 보안통제가 적용되며, 기밀등급 도메인 안에서만 처리할 수 있습니다.
2) 민감등급 (Sensitive)
같은 법 제9조제1항 제5~8호에 따른 비공개 대상 정보와 국회·지방의회 소속 공무원의 직무상 요구에 따라 작성·취득한 자료가 해당합니다. 이번 개정에서 민감등급 도메인의 정의가 신설(제2조 9의2호)되었으며, 외부 클라우드컴퓨팅 영역도 민감등급 도메인에 포함됩니다. 원격근무도 보안 요건 충족 시 허용됩니다.
3) 공개등급 (Open)
기밀·민감등급 업무정보를 제외한 모든 정보(공공데이터 포함)가 해당합니다. 공개등급 도메인에는 외부 정보통신망·클라우드컴퓨팅 영역과 상용 인터넷망이 포함되며, 클라우드 이용도 허용됩니다.
|
| 조항 |
개정 전 |
개정후(2026.05.01) |
| 제2조 제9호 |
기밀등급 도메인만 정의. 민감등급 도메인 정의 없음
|
- 기밀·민감·공개 전 등급 도메인 정의 명확화
- 제9호의2 신설: '민감등급 도메인'에 외부 클라우드컴퓨팅 영역 포함 가능 |
| 제2조 제10호 |
기관이 구축·운영하는 정보통신망 영역으로 한정
|
외부 정보통신망·클라우드컴퓨팅 영역 및 상용 인터넷망을 공개등급 도메인으로 명문화 |
| 제2조 제12호 |
정보시스템 일반 정의만 규정 |
기밀·민감·공개 3등급으로 정보시스템 명시 분류. 등급별 처리 가능한 업무정보 범위를 각각 규정 |
| 제2호 제11호·제16호·제36호·제44호·제49호 |
등급 관련 정의가 여러 조항에 분산 규정
|
전면 삭제 — 3등급 체계 일원화에 따른 중복·분산 정의 정리 |
|
가장 주목할 부분은 민감등급 도메인의 외연이 민간 클라우드까지 확장되었다는 점입니다. 종전이라면 "비공개 업무자료"는 사실상 내부망에서만 처리 가능했지만, 이제 민감등급 정보는 보안통제 항목을 충족하는 민간 클라우드에서 처리할 수 있는 길이 열렸습니다.
|
Chapter 2.
신기술 보안의 제도화 : AI · 우주 · 클라우드컴퓨팅 · 통합인증
|
그동안 지침의 사각지대였던 네 영역 "AI, 우주, 클라우드, 통합인증" 이 한꺼번에 제도권으로 들어왔습니다. 각 영역의 세부 통제는 별도 가이드라인으로 위임되었지만, 기본지침은 "보안대책 수립·시행 의무" 라는 출발선을 명시했습니다. 신기술 도입과 보안 거버넌스가 처음으로 같은 시간표 위에 놓인 셈 입니다.
1. 인공지능(AI) 보안 신설 (제72조의2)
생성형 AI의 급격한 확산은 공공 사이버보안에도 새로운 과제를 던졌습니다. 이번 개정은 AI를 보안의 대상으로 명시적으로 제도권 안에 편입시켰다는 점에서 의미가 큽니다.
별도의 세부 통제 항목은 「AI 보안 가이드북」으로 위임되었으나, AI 시스템 구축 단계에서 보안대책 수립이 의무화되었다는 점에서 의미가 큽니다.
무엇보다 현장 보안 담당자들이 주목해야 할 것은 제66조 개정입니다. 제66조(기밀·민감등급 업무정보 처리)에는 "인공지능을 활용한 상용 정보통신서비스" 이용 시 기밀·민감등급 업무정보 처리 금지 조항이 명시되어, ChatGPT 등 외부 LLM 서비스 사용에 대한 명확한 가이드라인이 만들어졌습니다.
2. 우주시스템 보안관리 신설 (제92조의2)
이번 개정에서 새롭게 등장한 영역이 하나 더 있습니다. 저궤도 위성통신(스타링크 등) 시대를 반영한 조항입니다. 각급기관이 우주시스템을 도입·운영할 경우 다음 사항을 관리·점검해야 합니다.
제2조 52호에 '우주시스템'의 정의가 신설되었고, 제92조의2로 우주시스템 보안관리 조항이 본절로 추가되었습니다.
발사체·지상국·위성망·탑재체·통신장비 등 우주시스템을 구성하는 자산의 식별, 연동 구간 보안, 종단 간 암호화 적용이 요구됩니다. 국가정보원장이 배포하는 「우주시스템 사이버보안 가이드라인」을 참조하여 보안 체계를 갖춰야 합니다. 이번 개정은 제2조 52호에 '우주시스템' 정의를 신설하고, 제92조의2를 통해 우주시스템 보안관리를 지침의 정식 관할 안에 포함시켰습니다.
3. 클라우드컴퓨팅 보안 확대 (제24조의3·24조의4, 제41조 개정)
기존에는 공개등급 정보에 한해 민간 클라우드 이용이 허용되었으나, 이번 개정으로 민감등급 도메인까지 외부 클라우드 영역 포함이 조건부로 가능해졌습니다. 제24조의3과 제24조의4가 신설되어 클라우드 도입 체계를 제도화하였습니다.
핵심은 '도입 가능 목록(Approved List)' 제도입니다. 정부가 지정한 도입 가능 목록에 등재된 클라우드 서비스만 사용할 수 있으며, 보안기준을 충족하지 못하거나 취약점을 조치하지 않는 서비스는 등재가 중지·취소됩니다. 클라우드 사업자에게도 정부기관에 준하는 보안관리 책임이 부여되며, 민간 클라우드 영역에 대한 보안관제 협조도 계약 시 명시 의무로 규정되었습니다(제41조).
4. 통합인증체계(SSO) 신설 (제52조의2, 제76조의2)
공공 부문 통합인증체계(SSO)의 보안 요건이 명문화되어, 구축∙운영의 법적 근거가 새롭게 마련되었습니다. 단순히 로그인 방식을 통합하는 차원이 아니라, 인증 전 과정에 걸친 기술적 보안 요건을 지침으로 명문화한 것입니다.
제76조의2가 각급기관에 통합인증체계 구축·운영의 권능과 목적("정보시스템의 안전한 접근통제와 사용자 편의성 제고")을 부여한다면, 제52조의2는 그 구축·운영 시 따라야 할 기술적 보안 요건을 규정합니다.
도입 방식은 두 가지입니다. 국가정보원이 안전성을 검증한 제품을 도입하거나, 지침에서 정한 기술적 보안 요건을 직접 갖추는 것입니다. 기술 요건의 핵심은 세 가지로 정리됩니다.
1) 표준과 암호화, SAML·OAuth·OIDC 등 국제적으로 검증된 인증·권한부여 표준을 사용하고 TLS 1.2 이상으로 통신을 암호화해야 합니다.
2) 세션 무결성, 인증 세션에 유효기간을 설정하고 미활동 시 자동 종료(Timeout) 처리가 의무화되며, 인증서버와 연계시스템 간 상호 신뢰 검증 및 세션 무결성도 확보해야 합니다.
3) 모니터링과 감사, 인증·접근 이력을 상시 모니터링하여 경고·추가인증·접근제한·차단의 단계적 대응 체계를 갖추고, 관련 로그는 1년 이상 보관해야 합니다.
이 요건들은 제76조의2가 명시한 "안전한 접근통제와 사용자 편의성"을 동시에 확보하기 위한 최소 기준 입니다.
|
Chapter 3.
보안 운영 의무 강화 : 원격근무·정보 유출방지·위협대응·보안관제
|
신기술 영역을 제도화한 것을 너머 기존 영역을 더 단단히 조였습니다. 원격근무 시 DRM 사용이 명문화되고, 기밀·민감등급 정보의 유출방지(DLP)가 의무화되며, 보안관제는 EDR 연동·암호화 트래픽 가시화까지 요구됩니다. 제도 위에 운영의 의무가 한 단 더 얹어진 셈 입니다.
1. 원격근무 보안 강화 (제59조 전면개정)
원격근무 조항이 N2SF 등급체계와 연동되며 대폭 강화되었습니다. 재택근무·파견근무·출장 등 다양한 형태의 원격근무가 일상화된 공직 환경을 제도적으로 수용한 것입니다.
단말기 종류에 따라 접속 가능한 정보시스템의 범위가 구분됩니다.
|
| 단말기 종류 |
접속가능 정보시스템 |
| 기관 지급 '온북' 단말기 또는 국정원이 보안성을 확인한 단말기 |
공개등급 정보시스템 + 민감등급 정보시스템 직접 접속 가능 |
| 개인단말기(BYOD) |
공개등급 업무정보 처리 가능 가상 PC 또는 이에 준하는 정보서비스 / 제39조의5에 따른 보안통제 적용 시 민감등급 업무정보 처리 가능 가상 PC |
|
아울러, 원격근무를 시행하고자 할 경우 세 가지 보안대책이 강구된 정보시스템을 구축하고 운영해야 합니다. (원격근무 보안(제 59조))
1) 첫째, 검증필 암호모듈이 탑재된 정보보호시스템을 사용하여 원격근무 시스템과 원격근무자의 단말기 간 통신 구간을 암호화해야 합니다.
2) 둘째, 문서 암호화제품(DRM)을 사용하는 등 문서 보호 대책을 강구해야 합니다.
3) 셋째, 원격근무자를 식별ㆍ인증하기 위하여 소유기반 인증(모바일신분증, OTP, SMS 등) 및 생체기반 인증(지문ㆍ홍체인식 등) 등 서로 다른 방식을 다중 적용해야 합니다.
2. 정보 유출방지(DLP) 의무화
이번 개정은 '비밀이 아닌 중요자료 유출방지'에서 '기밀·민감등급 업무정보 유출방지'로 제68조의 제목 자체를 바꾸었습니다. 명칭 변경은 곧 적용 범위의 명확화입니다.
내용 측면에서는 기밀(비밀 제외)·민감등급 업무정보의 처리 절차 준수 여부를 관리·통제할 수 있는 유출방지 보안체계를 구축하고 운영하는 것이 의무화되었습니다. 검증필 암호모듈을 사용하여 위조·변조·훼손·유출을 방지하는 기술적 보안 대책도 함께 요구됩니다. 기존에 권고 수준에 머물던 DLP 솔루션 도입이 이제 법적 의무로 격상된 것입니다.
3. 위협대응·보안관제 강화
그동안의 위협대응이 사고가 난 뒤의 분석·복구에 머물렀다면, 개정 지침은 위협이 닿기 전에 제거하고, 닿는 순간 가시화하는 능동적 통제를 요구합니다.
취약 제품의 긴급 대체와 시정조치, 암호화 트래픽 가시화 장비, EDR과 보안관제센터의 연동 의무화가 그 신호 입니다.
1) 취약 제품·소프트웨어 대응 강화
|
| 조문 |
내용 |
| 제97조의3 (취약 정보통신제품의 긴급 대체) |
사이버안보 위해 국가·단체가 개발·유통에 연계된 제품 또는 시급한 보안위협이 식별된 제품에 대해 국정원장이 운용 중지 요청 → 각급기관은 지체 없이 동일 성능 제품으로 대체 |
| 제97조의4 (취약 상용 소프트웨어의 시정조치) |
보안취약점이 발생한 상용 SW에 대해 제24조의2 제2항에 따른 계약에 따라 시정조치 의무화. SW 구매계약·EULA·3자 기술지원 확약서에 시정조치 의무가 명시되어야 함 |
|
2) 보안관제 환경의 능동화(제131조 ⑤·⑥ 신설)
각급기관은 소관 보안관제센터와의 협력채널 구축 및 탐지규칙 수신·결과회신, 암호화된 사이버공격·위협 패킷을 가시화하는 장비 구축 또는 보안관제센터와의 연동, 각 기관 도입 EDR(단말 위협탐지 제품)의 보안관제체계 연동을 포함해 5대 보안관제 요건을 갖춰야 합니다. 또한 민간 클라우드컴퓨팅서비스 영역에 대해서도 보안관제가 이루어지도록 노력해야 합니다. EDR 보안관제 연동의 공식 의무화가 가장 주목할 변화입니다.
3) 민간으로 확장된 협조·조사 체계 (제4조 ③, 제140조 ⑥·⑦, 제141조 ②)
작전 반경이 민간까지 넓어졌습니다. 제4조 ③ 신설로 국가정보원장의 사이버보안 직무 관련 자료 제출·협조 요청에 정당한 사유 없이 응해야 하는 민간 협조 의무가 5개 단체로 명시되었습니다. 용역업체, 정보시스템·정보보호시스템 공급업체, 클라우드컴퓨팅서비스 제공자, 전기통신사업자, 정보통신서비스 제공자 입니다. 사고조사 권한도 확장되어, 클라우드에서 사고 발생 시 조사기관이 국정원이면 CSP에 직접 자료 제출·현장 조사 등 필요한 조치가 가능해졌고, 전문기술·인력 필요 시 국정원장에게 지원 요청하는 절차가 신설되었습니다. 민감등급 업무자료 유출 사고는 새로 합동 조사 대상에 포함되었습니다.
4) 평가결과 공개와 개선 통보 의무화 (제101조의2 신설, 제101조 ④ 신설)
국정원장은 사이버보안 예산·인력현황, 인증·평가·점검, 교육현황 등을 포함한 사이버보안 실태 평가 결과를 공개할 수 있습니다. 평가받은 기관이 개선대책 요청을 받은 경우 3개월 이내에 개선·보완 결과를 통보해야 하는 의무도 신설되었습니다. 사이버보안 수준이 외부 가시화되는 동시에, 후속 조치의 시간표까지 강제되는 셈입니다.
|
Chapter 4.
변경된 국가 사이버보안 기본지침, 소프트캠프 솔루션을 통한 대응 방안은?
|
지침의 구조가 바뀌었고, 새로운 보안 의무가 생겼으며, 현장 운영의 기준도 높아졌습니다. 앞선 세 개의 챕터가 보여준 변화의 총량은 결국 하나의 질문으로 귀결됩니다. 우리 기관은 어디서부터 시작해야 하는가.
제로트러스트 관점의 신원 검증, AI 서비스 접근 통제, 문서보안의 단절 없는 오케스트레이션, 클라우드 환경에서의 민감정보 보호, 실행 중인 SW의 취약점 상시 탐지, 이 과제들은 새로운 지침이 만들어낸 요구사항이기도 하지만, 소프트캠프 솔루션으로 대응 가능한 영역이기도 합니다.
5개 솔루션의 대응 조항은 장 → 절 → 조 구조로 풀어 정리해드립니다. 같은 솔루션이 여러 장·절에 걸쳐 있다는 것은, 그만큼 지침의 다층적 요구사항을 통합적으로 커버한다는 의미입니다.
각 요건별 대응 방안을 소개합니다.
|
| 솔루션 |
대응 조항 |
| 클라우드 환경의 계정관리 SHIELD ID |
제3장 정보통신망 및 정보시스템 보안
- 제3절 정보 시스템 보안
>제52조의2 (통합인증체계)
- 제5절 사용자 보안
>제76조의2 (통합인증체계의 구축·운영)
>제76조 (비밀번호 관리) 제4항 |
|
1) 표준 기반 SSO - SAML 2.0으로 인증 통합
제52조의2는 통합인증체계 구현 시 SAML·OAuth·OIDC 국제 표준 준수를 요건으로 명시합니다. SHIELD ID는 SAML 2.0 기반 SSO(Single Sign-On)를 제공하여 Microsoft 365, AWS, Salesforce, Slack, GitHub, Zoom 등 30개 이상의 클라우드 서비스를 단일 계정으로 연결합니다. 직원은 하나의 자격증명으로 업무 시스템 전체에 접근하고, 관리자는 서비스별로 흩어진 계정을 중앙에서 일괄 통제합니다.
2) 다중인증(Multi-Factor Authentication)
제76조 4항은 관리자 권한 보유자에 대한 다중인증(MFA)을 신설 의무로 규정합니다. SHIELD ID는 이메일 인증코드(6자리, 5분 유효)와 OTP 인증앱 두 가지 MFA 방식을 지원합니다. 관리자 계정뿐 아니라 일반 사용자에게도 조직 정책에 따라 MFA를 적용하여, 자격증명 탈취에 의한 무단 접근을 계정 레벨에서 차단합니다.
3) ZTCAP - 제로 트러스트 기반 조건부 적응형 접근 정책
단순 인증을 넘어, SHIELD ID의 ZTCAP(Zero Trust Conditional Adaptive Policy)는 사용자·그룹·디바이스 유형·접속 위치·시간대를 조합한 조건부 접근 정책을 구성합니다. 내부망 접속과 외부망 접속에 서로 다른 인증 강도를 적용하고, 지정된 업무 시간 외 접속 시 추가 인증을 요구하는 방식으로 제52조의2가 요구하는 상호신뢰검증과 세션 보안 요건을 충족합니다.
4) 계정 생애주기 관리 - 미사용 계정 자동 차단
인사 시스템·Active Directory·LDAP·Microsoft Entra ID와 실시간·스케줄 방식으로 동기화하여, 퇴직·부서 이동 시 계정을 자동으로 비활성화합니다. 중복 계정 탐지 기능으로 권한 남용 가능성을 사전 차단하고, CSV 일괄 등록과 역할 기반 권한(RBAC,Role-Based Access Control) 관리로 대규모 공공기관 환경에서도 계정 운영 부담을 최소화합니다.
|
| 솔루션 |
대응 조항 |
| 웹격리(RBI)기반의 보안 원격 접속 SHIELD Gate |
제3장 정보통신망 및 정보시스템 보안
- 제3절 정보시스템 보안
>제59조 (원격근무 보안)
- 제4절 자료 보안
>제66조 (기밀·민감등급 업무정보 처리) |
|
1) 생성형 AI 서비스 기밀정보 입력 차단
제66조는 기밀·민감등급 업무정보를 처리할 수 있는 방법을 열거하고, 그 범위 밖의 수단은 허용되지 않는 구조입니다. ChatGPT·Copilot·Gemini 등 외부 AI 상용서비스는 허용된 처리 방법에 포함되지 않습니다.
SHIELD Gate는 URL 단위 정책 제어로 AI 서비스 접속 자체를 차단하거나, 접속은 허용하되 텍스트 입력·파일 업로드만 선택적으로 차단하는 세분화된 통제가 가능합니다. 사용자는 웹브라우저만으로 접속하며 별도 에이전트 설치가 필요 없어 기관 전체에 빠르게 적용할 수 있습니다.
2) ZTCAP - 제로 트러스트 기반 조건부 적응형 접근 정책
제59조는 원격근무 시 MFA와 접속 환경 보안을 의무화합니다. SHIELD Gate의 ZTCAP(Zero Trust Conditional Adaptive Policy)는 사용자 신원(Who)·접속 위치(Where)·시간대(When)·디바이스(What)·접근 리소스(Which) 5가지 조건을 조합하여 접근 권한을 동적으로 결정합니다.
사무실 내부 IP 접속과 외부 원격 접속에 서로 다른 인증 강도를 적용하고, 외부 접속 시 MFA를 자동으로 요구하는 방식으로 제59조의 원격근무 보안 요건을 충족합니다.
3) 웹 격리(Remote Browser Isolation)
RBI(Remote Browser Isolation)는 모든 웹 콘텐츠를 격리 서버에서 실행하고, 사용자 기기에는 화면 스트림만 전달합니다. HTML·JavaScript·플러그인·ActiveX 등 브라우저 기반 위협이 사용자 기기에 도달하지 않으며, 세션 단위로 완전히 격리된 환경에서 웹 접속이 이루어집니다.
제59조는 개인 기기(BYOD)를 통한 민감등급 접속을 "가상 PC 또는 이에 준하는 정보서비스"로 제한합니다. RBI는 사용자 기기의 보안 수준과 무관하게 격리된 환경을 제공하므로, 이 요건에 준하는 원격근무 접속 수단으로 활용될 수 있습니다.
제66조의 기밀·민감등급 업무정보 처리 통제 측면에서도, RBI를 통해 외부 AI 서비스 페이지에 대한 텍스트 입력과 파일 업로드를 선택적으로 차단함으로써 내부 정보가 외부 서비스로 전달되는 경로를 기술적으로 차단합니다.
|
| 솔루션 |
대응 조항 |
| 클라우드 문서보안 오케스트레이션 SHIELD DRM |
제3장 정보통신망 및 정보시스템 보안
- 제3절 정보시스템 보안
> 제59조 (원격근무 보안)
- 제4절 자료 보안
> 제68조 (기밀·민감 업무정보 유출방지) |
|
1) 클라우드 환경 문서 자동 암호화
개정 제59조는 민감등급 원격근무 시 DRM 적용을 명시적으로 의무화합니다. SHIELD DRM은 클라우드 네이티브 DRM 서비스로, Teams·OneDrive·SharePoint에 파일이 업로드되는 시점을 이벤트 기반으로 실시간 감지하여 MIP(Microsoft Information Protection) 레이블을 자동 적용합니다. 직원이 별도 조작 없이 원격근무 중 생성·공유하는 문서에 암호화가 자동 부여되므로, 제59조의 DRM 의무를 운영 부담 없이 충족할 수 있습니다.
기존에 사용하던 DRM 문서도 MIP 레이블로 자동 변환하여 클라우드에서 즉시 활용 가능합니다. 또한 데스크톱에서는 우클릭 메뉴로 DRM ↔ MIP 양방향 변환이 가능합니다. Microsoft 365와의 완전한 호환으로 Word·Excel·PowerPoint 문서의 열람·편집·공동 작업 환경을 그대로 유지하면서 보안을 적용합니다.
2) 조건부 정책 기반 유출방지 통제
제68조는 기밀·민감등급 업무정보의 처리 절차 준수를 관리·통제하는 유출방지 보안체계 구축·운영을 의무화합니다. SHIELD DRM의 조건부 정책 엔진은 사용자·그룹, IP 범위, 시간대, 문서 유형을 조건으로 암호화 정책을 세분화하여 적용합니다.
엔드포인트 PC의 로컬 문서, 클라우드 스토리지 업로드 파일, 조직 전체 문서 흐름(SDF)을 각각 독립된 정책으로 통제하여 모든 접근 경로에서 기밀·민감등급 정보의 무단 반출을 차단합니다.
|
| 솔루션 |
대응 조항 |
| 클라우드 스토리지 보안 브로커 SHIELD Drive |
제2장 정보화사업 보안
- 제3절 제품 도입
> 제24조의3 (클라우드컴퓨팅 도입 가능 목록)
> 제24조의4 (클라우드컴퓨팅 서비스의 도입·운영·이용)
제3장 정보통신망 및 정보시스템 보안
- 제2절 정보통신망 보안
> 제41조 (클라우드컴퓨팅 보안)
- 제4절 자료보안
>제68조 (기밀·민감등급 업무정보 유출방지) |
|
1) 민감등급 클라우드 파일 암호화와 접근 통제
이번 개정은 민감등급 도메인까지 외부 클라우드를 조건부로 허용하였습니다. 그러나 클라우드에 민감등급 파일을 올릴 수 있다는 것과, 그 파일이 안전하게 보호된다는 것은 다른 문제입니다. 제24조의3~4와 제41조는 클라우드 환경에서도 기밀·민감등급 정보에 대한 보안 통제가 유지되어야 함을 명시합니다. SHIELD Drive는 파일이 업로드되는 즉시 자동으로 암호화하고, 암호화 키는 별도 KMS로 보호합니다. 파일명도 난독화하여 파일명만으로 내용을 추론할 수 있는 위협을 차단합니다.
OneDrive·SharePoint·Google Drive·내부 NAS 등 분산된 스토리지를 단일 인터페이스로 통합 관리하며, 스토리지별로 독립된 보안 정책을 적용합니다. Microsoft Teams와 직접 연동하여 팀 단위 파일 공유와 공동 편집 환경에서도 암호화 상태를 유지하고, 클라우드·온프레미스·하이브리드 배포 방식을 지원하여 기관별 N2SF 등급 체계에 맞는 구성이 가능합니다.
2) 조건부 정책 기반 유출방지 통제
제68조는 기밀·민감등급 업무정보에 대한 유출방지 보안체계 구축·운영을 의무화합니다.
SHIELD Drive의 조건부 정책 엔진은 대상(사용자·그룹·스토리지)·조건(IP·접속 시간·디바이스 유형·문서 속성)·행위(업로드·다운로드·편집·공유·이동)를 조합하여 세분화된 통제 정책을 적용합니다. 정책 위반 시 즉시 접근이 차단되며, 모든 사용자 활동과 파일 접근 이력은 감사 목적 로그로 자동 보존됩니다.
|
| 솔루션 |
대응 조항 |
| 소프트웨어 공격 표면 관리 XSCAN Server Runtime |
제3장 정보통신망 및 정보시스템 보안
- 제3절 정보시스템 보안
> 제53조 (서버보안) 제1항 제7호·제2항
제5장 훈련 및 평가
- 제1절 훈련 및 진단
> 제97조의4 (취약 상용 소프트웨어의 시정조치) |
|
1. 수시 확인'의 실효성
개정 제53조 ①항 7호는 운영체제와 SW의 보안 패치 적용 현황 관리 및 알려진 취약점 조치를 의무화합니다. 제53조 ②항은 연 1회 이상 서버 보안취약점 점검을 최소 기준으로 규정하면서도, 취약점이 공개될 때마다 '수시 확인' 의무가 별도로 작동합니다.
수백 대의 서버에 수백 건의 CVE가 수시로 공개되는 현실에서, 사람과 스크립트 기반 운영으로는 짧은 패치 윈도우 안에 실효성 있는 대응이 사실상 불가능합니다. 실시간 가시성 자동화가 필요한 이유입니다.
2. 실행적인 취약점만 식별
XSCAN Server Runtime은 실제로 실행 중인 프로세스와 메모리에 로드된 컴포넌트를 실시간으로 모니터링하는 Runtime SBOM 솔루션입니다. 신규 CVE·KEV·HEV 등록 즉시 현재 운영 중인 서버에서 해당 컴포넌트의 실행 여부를 자동 확인하고, 실행 중인 항목만 우선순위화하여 처리 대상을 실효 범위로 축소합니다.
CopyFail 사례에서도 algif_aead 모듈을 실제로 로드한 호스트를 즉시 식별하여 긴급 패치 대상 서버를 정확히 특정할 수 있습니다. 감사 대응 측면에서도 '설치 목록' 증빙을 넘어 '실제 위험 노출' 현황과 변화 추적 이력을 자동 생성하며, N2SF 등급 분류·통제의 직접 근거 데이터도 자동으로 확보됩니다.
|
지금까지 2026년 5월 1일 전면 시행된 국가 사이버보안 기본지침의 변화를 세 가지 축으로 살펴보았습니다. 망분리 중심의 물리적 경계 통제가 N2SF 기반 기밀·민감·공개 3등급 체계로 전환되었고, AI 시스템·클라우드컴퓨팅·통합인증 등 신기술 영역의 보안 요건이 지침에 명문화되었습니다. 원격근무 DRM 의무화, DLP 보안체계 구축 등 현장 보안 운영의 기준도 한층 높아졌습니다.
이번 개정의 핵심은 통제 수단 그 자체가 아니라, 업무정보를 등급에 따라 실질적으로 통제하고 그 이행을 증명할 수 있는 체계를 갖추는 것입니다. 어떤 방식으로 요건을 충족할지는 각 기관의 환경과 우선순위에 따라 달라지지만, 지침이 가리키는 방향은 명확합니다.
소프트캠프는 이번 개정 지침의 주요 요건에 대응할 수 있는 솔루션을 소개해 드렸습니다. 변화된 지침 위에서 귀 기관의 보안 체계가 실질적으로 작동할 수 있도록 함께하겠습니다.
|
|
|
|
|
